De cyberbeveiligingswerving in Den Haag: waarom de overheid die deze markt aandrijft haar ook van talent berooft

De cyberbeveiligingssector in Den Haag groeide met 13,5% tot en met 2025 en overtrof daarmee het Benelux-gemiddelde met meer dan twee procentpunten. De defensie-uitgaven bereikten de NAVO-norm van 2% van het BBP. De vraag naar NIS2-compliance nam sterk toe. Het Ministerie van Defensie legde voor 2026 €340 miljoen vast in cyber-inkoopcontracten. Afgaande op elke groeimaatstaf zou dit een van Europa's meest dynamische arbeidsmarkten voor securityprofessionals moeten zijn.

Dat is ook zo. En tegelijkertijd is het een van de markten met de sterkste structurele beperkingen. Dezelfde overheidsinstellingen die de cyberbeveiligingscluster van Den Haag verankeren — en contractstromen en internationale geloofwaardigheid creëren — zijn tegelijk de felste concurrenten van de private sector om het talent dat nodig is om die contracten uit te voeren. NCSC-NL groeit van 450 naar 600 medewerkers. Het Defence Cyber Command schaalt op. De AIVD verwerkt ongeveer 1.200 nieuwe veiligheidsonderzoeken per jaar, terwijl de markt een veelvoud daarvan nodig heeft. Private bedrijven winnen contracten die zij niet kunnen invullen, omdat de mensen die gekwalificeerd zijn om het werk te doen worden aangenomen door de instanties die het werk uitbesteden.

Hieronder volgt een gestructureerde analyse van de krachten die de AI & Technology hervormen, de werkgevers die die verandering aanjagen, de specifieke functies waarvoor werving het moeilijkst is geworden, en wat senior leiders moeten begrijpen voordat zij in deze markt hun volgende zoek- of retentiebeslissing nemen.

De cluster die met zichzelf concurreert

Het ecosysteem van de Hague Security Delta omvat ongeveer 275 geregistreerde security-entiteiten, waarvan 180 private ondernemingen met een gezamenlijke jaaromzet van €1,8 miljard. De cluster wordt verankerd door NCSC-NL, het Defence Cyber Command van het Ministerie van Defensie en het NATO Communications and Information Agency. Deze concentratie van overheids- en intergouvernementele organisaties is de reden dat de cluster bestaat. Het is ook de reden dat de cluster niet zo snel kan groeien als het orderboek vereist.

De private sector stelt ongeveer 12.400 fte's te werk in pure-play cyberbeveiligingsbedrijven, defensieaannemers met cyberdivisies en consultancyorganisaties. Dat aantal vertegenwoordigt 34% van het totale cyberbeveiligingspersoneelsbestand van Nederland. Maar de verdeling van dat personeelsbestand is misleidend. De grootste werkgevers in deze markt zijn geen private ondernemingen. Het zijn overheidsinstanties en intergouvernementele organisaties die direct concurreren om dezelfde gescreende professionals.

De talentafvoer

Volgens berichtgeving van Computable.In Nederland verloor Sectricity in de eerste helft van 2024 drie senior penetration testers aan het Cyber Command van het Ministerie van Defensie. Het ministerie bood voor gescreende functies werkzekerheidspremies die neerkwamen op 15 tot 20% boven de basissalarissen in de private sector. Dit is geen geïsoleerd incident. Het is de bepalende dynamiek van deze markt.

NCSC-NL had tot en met 2025 450 fte's in dienst en zal naar verwachting tegen het einde van 2026 op 600 uitkomen. Elke nieuwe overheidsaanstelling in een gescreende functie verkleint de pool die beschikbaar is voor private bedrijven met één persoon. Wanneer de AIVD pensioenzekerheid en behoud van screening kan bieden die geen enkele private leverancier kan evenaren, wordt de wervingsuitdaging structureel in plaats van cyclisch. Private ondernemingen verliezen niet alleen een biedingsstrijd op salaris. Zij verliezen op een propositie die zij niet kunnen repliceren.

Deze dynamiek keert de conventionele wijsheid rond nabijheid van de overheid om. In de meeste technologieclusters is nabijheid van een grote ankerinstelling een ondubbelzinnig voordeel. In de gescreende cyberbeveiligingsmarkt van Den Haag is het zowel de motor als de rem.

De screening-paradox die de groei van de private sector blokkeert

De AIVD verwerkt ongeveer 1.200 nieuwe aanvragen voor veiligheidsonderzoeken per jaar, met een huidige achterstand van vier tot zes maanden. Dit aantal is niet meegegroeid met de vraag. Private ondernemingen kunnen niet inschrijven op ongeveer 40% van de defensiecybercontracten zonder vooraf gescreend personeel. Tegelijk kunnen zij voor nieuwe medewerkers geen screening verkrijgen totdat een contract is binnengehaald.

Dit is de screening-paradox. Zij werkt als een structurele toegangsdrempel die gevestigde partijen bevoordeelt boven nieuwkomers en grote systeemintegrators boven gespecialiseerde startups. Bedrijven als TNO, CGI en Capgemini beschikken over pools van gescreend personeel dat direct op nieuwe contracten kan worden ingezet. Een boutique consultancy van 65 medewerkers kan zich niet veroorloven om in afwachting van de volgende inkoopcyclus niet-productief gescreend personeel op de loonlijst te houden.

De Taskforce Cyber publiceerde in 2024 een hervormingsvoorstel voor het screeningsproces, maar de implementatietijdlijnen blijven onzeker. Totdat de verwerkingscapaciteit wezenlijk toeneemt, zal de bottleneck in screening defensiecybercontracten blijven concentreren bij een klein aantal gevestigde ondernemingen met een bestaande Talent Pipeline. Kleinere HSD-leden, van wie velen daadwerkelijk technisch onderscheidend zijn op gebieden als OT-security en space-cyber defence, blijven uitgesloten van de contracten die hen zouden laten groeien.

De praktische consequentie voor hiring leaders is dat gescreend talent niet slechts schaars is — het wordt structureel afgeschermd. Een search naar een security architect met NATO SECRET-screening is geen search in een krappe markt. Het is een search binnen een gesloten systeem waarin de totale benaderbare pool wordt bepaald door een overheidsproces met vaste verwerkingscapaciteit.

Waar de tekorten het scherpst zijn

Niet elke cyberbeveiligingsfunctie in Den Haag is even moeilijk in te vullen. De markt kent tegelijkertijd acute schaarste en latente overcapaciteit, afhankelijk van het specifieke vaardighedenprofiel. Deze tweedeling is in 2026 het belangrijkste kenmerk van de lokale talentmarkt — en zij blijft onzichtbaar in de geaggregeerde data.

Gescreende Security Architects en OT Engineers

Vacatures voor cyberbeveiligingsfuncties in Den Haag stegen met 28% year-over-year tot en met Q4 2024. Maar de gemiddelde Time to Hire voor functies als Senior Security Architect, Cleared en OT Security Engineer, Defence liep op tot 90 dagen of meer. Dat is het dubbele van het gemiddelde van 45 dagen voor niet-gescreende commerciële functies.

De ratio van passieve kandidaten vertelt het diepere verhaal. Volgens de analyse van de Intelligence Group uit 2024 over arbeidsmarktgedrag van cyberbeveiligingsspecialisten is 85 tot 90% van de gekwalificeerde gescreende security architects al in dienst en solliciteert niet actief op vacatures. Voor senior OT/ICS security engineers met defensie-ervaring bedraagt de verhouding tussen actieve en passieve kandidaten ongeveer één op zeven. De gemiddelde functieduur is meer dan 4,5 jaar. Deze professionals bekijken geen jobboards. Zij reageren niet op LinkedIn-inmails van onbekende recruiters. Zij worden bereikt via gesloten netwerken en directe headhunting, of helemaal niet.

Fox-IT, de grootste gespecialiseerde cyberbeveiligingswerkgever van Den Haag met 340 specialisten, had tien maanden lang een actieve vacature openstaan voor een Principal Incident Response Consultant met geschiktheid voor NAVO/EU SECRET — van maart 2024 tot en met januari 2025. De Nederlandse talentpool bleek uitgeput, waarna de search werd uitgebreid met relocatiepakketten vanuit het VK en België. Die tijdlijn is niet ongebruikelijk voor dit functieniveau. Het is de marktnorm.

De CISO-markt

Op executive-niveau is de CISO-markt in Den Haag voor 95% of meer passief. Overstappen bij grote werkgevers verlopen uitsluitend via Executive Search-netwerken, zonder enige afhankelijkheid van vacaturepublicaties. Volgens het Financieele Dagblad zocht ABN AMRO gedurende heel Q3 en Q4 2024 naar een Divisional CISO voor zijn cyberunit voor Wholesale Banking. De functie bleef zeven maanden vacant en werd uiteindelijk ingevuld via interne promotie, nadat drie externe kandidaten naar verluidt aanbiedingen hadden afgewezen vanwege salarisverschillen met de Britse markt.

Dit voorbeeld illustreert een beperking die verder reikt dan één werkgever. De CISO-vergoeding in Den Haag is weliswaar sterk naar Nederlandse maatstaven, maar 12 tot 18% lager dan in de Zuidas in Amsterdam en 35 tot 45% lager dan in Londen. Voor een kandidaat die een overstap naar Den Haag afweegt tegen een concurrerend aanbod van een in het Verenigd Koninkrijk gevestigde instelling, is dat verschil groot genoeg om het gesprek te beëindigen voordat het begint. De kosten van een verkeerde aanwerving op dit niveau verhogen de inzet nog verder voor organisaties die zich geen tweede mislukte search kunnen veroorloven.

De over het hoofd geziene overcapaciteit

Traditionele netwerksecurity-engineers zonder cloud- of OT-specialisaties zien stagnerende lonen en afnemende plaatsingspercentages. De geaggregeerde groeicijfers maskeren deze realiteit. De cyberarbeidsmarkt in Den Haag is niet overal even sterk. Zij is gesplitst in een gescreend, gespecialiseerd segment waar de vraag het aanbod ruimschoots overstijgt, en een legacysegment waar het aanbod toereikend is maar de vaardigheden steeds minder aansluiten op het beschikbare werk. Hiring leaders die de cyberbeveiligingsschaarste als één enkel fenomeen beschrijven, diagnosticeren hun eigen markt verkeerd.

Vergoeding: wat functies daadwerkelijk betalen en waarom de verschillen ertoe doen

De vergoedingen in de cyberbeveiligingssector van Den Haag volgen een duidelijke gradiënt die wordt bepaald door twee variabelen: veiligheidsstatus en ervaring met operational technology. Beide leiden tot premies die op elk senioriteitsniveau verder oplopen.

Een Senior Security Architect met CISSP, TOGAF en NAVO- of EU SECRET-screening verdient een basissalaris van €95.000 tot €115.000 plus een bonus van 10%. Op director-niveau of als Chief Security Architect loopt de vergoeding op tot een basis van €165.000 tot €195.000 plus 20 tot 30% bonus en deelname aan langetermijnincentives. Senior Incident Response Consultants met DFIR-certificering bevinden zich in de bandbreedte van €85.000 tot €105.000, terwijl Heads of Incident Response uitkomen op €155.000 tot €185.000.

Het OT/ICS-segment kent een duidelijke premie ten opzichte van vergelijkbare IT-securityfuncties, wat de acute schaarste weerspiegelt aan engineers met certificeringen in IEC 62443 en GIAC GICSP. Senior OT Security Engineers verdienen €90.000 tot €120.000 basis. Directors of OT Security en Industrial CISOs bereiken €175.000 tot €220.000 basis plus equity.

Deze cijfers zijn concurrerend binnen de Nederlandse markt. Internationaal zijn zij dat niet. Londen biedt gescreende defensieaannemers en senior architects vergoedingspremies van 35 tot 45% in pakketten uitgedrukt in GBP. In de Zuidas van Amsterdam verdienen CISOs €200.000 tot €250.000 tegenover €180.000 tot €220.000 in Den Haag. Brussel concurreert om governance-, risk- en complianceprofessionals via expatriëringsregelingen van EU-instellingen met een prestige dat Den Haag niet kan evenaren.

De salarisinflatie voor gescreend cybertalent bereikte in 2024 8,5%, volgens de benchmarkstudie van KPMG. Dat overtrof de omzetgroei van kleinere consultancybedrijven, die gemiddeld 6,2% bedroeg. De rekensom is niet houdbaar. Mkb-bedrijven in de HSD-cluster betalen meer voor talent terwijl zij proportioneel minder verdienen, en de kloof tussen wat overheidsinstanties kunnen bieden aan totale beloning en wat een boutique van 65 mensen kan bieden, blijft groeien.

De regulatoire golf die sneller vraag creëert dan de markt kan bemensen

De implementatie van de EU NIS2-richtlijn in Nederland vanaf oktober 2024 veroorzaakte een sprongsgewijze toename van de vraag naar compliance. Consultancybedrijven in Den Haag rapporteerden jaar-op-jaar stijgingen van 60 tot 80% in opdrachten rond NIS2-gereedheid. Incident response-retainercontracten bij MSSP's in Den Haag stegen met 45% na spraakmakende ransomware-aanvallen op Nederlandse kritieke infrastructuur eind 2024.

De Big Four domineren deze compliancegolf. Deloitte Cyber in Den Haag heeft 190 professionals in dienst. PwC Cybersecurity and Privacy telt er 165. EY Netherlands Cyber heeft er 140, en KPMG Cyber opereert met 95. Samen absorberen deze vier kantoren een substantieel deel van het beschikbare mid-career compliance- en GRC-talent, waardoor MSSP's in het middensegment moeite hebben om hun eigen NIS2-opdrachten te bemannen.

De voorgestelde Cyber Resilience Act vergroot de druk verder. MSSP's in het middensegment rapporteren een margecompressie van 15 tot 20% door hogere kosten voor aansprakelijkheidsverzekeringen en compliance-tooling die vereist zijn onder NIS2 en CRA. Deze bedrijven moeten aanwerven om de groeiende vraag te bedienen, maar elke aanwerving kost meer dan een jaar geleden, terwijl de marge op het werk dat deze mensen uitvoeren kleiner wordt. Dit is geen groeiprobleem. Het is een rendabiliteitsprobleem dat zich voordoet als een groeiverhaal.

Voor Banking & Wealth Management heeft de NIS2-golf een specifieke implicatie. Op compliance gericht security-leadership — de GRC-directors en NIS2-programmamanagers die regelgeving kunnen vertalen naar operationele controls — is de snelst groeiende searchcategorie in Den Haag geworden. Tegelijk bevinden deze professionals zich op het snijvlak van cyberbeveiliging en regulatoire expertise, een combinatie die in elke markt zeldzaam is en nog zeldzamer in een markt waar Brussel en Amsterdam agressief concurreren om dezelfde profielen.

De VC-kloof en wat die betekent voor talentretentie

Den Haag trok in 2024 €23 miljoen aan funding voor cybersecurity-startups aan. Amsterdam trok €340 miljoen aan. Die verhouding — ongeveer één op vijftien — verklaart een talentdynamiek die niet alleen uit vergoedingsdata blijkt.

Cyberbeveiligingsprofessionals in Den Haag die vermogensopbouw via startup-equity willen realiseren, stuiten op een structureel plafond. Het venturecapital-ecosysteem dat zinvolle equity-uitkomsten mogelijk maakt, is geconcentreerd 60 kilometer noordelijker in de Zuidas van Amsterdam. Volgens het National Startup Report van Techleap.nl](https://www.techleap.nl) trok Amsterdam in 2024 63% van alle Nederlandse cybersecurity-VC-financiering aan, tegenover 12% voor Den Haag.

De uitbreiding van de HSD-campus, met 12.000 vierkante meter extra beveiligde facilitaire ruimte tegen Q2 2026 voor onderzoek naar OT-security en space-cyber defence, pakt de kloof in fysieke infrastructuur aan. De kapitaalkloof pakt zij niet aan. Van commerciële pure-play softwarestartups wordt verwacht dat zij zich blijven verplaatsen richting Amsterdam, aangetrokken door de financieringsomgeving en exitmogelijkheden die Den Haag momenteel niet kan bieden.

Voor hiring leaders bij de defensiegerelateerde bedrijven in Den Haag creëert dit een retentierisico met een specifieke vorm. De meest ondernemend ingestelde senior professionals — precies de mensen die innovatie in threat intelligence en offensive security aanjagen — worden geconfronteerd met een berekening van carrièreverhandelbaarheid die steeds sterker in het voordeel van Amsterdam uitvalt. Zij kunnen in Den Haag blijven en werken aan geclassificeerde overheidscontracten met sterke werkzekerheid maar beperkte aandelenwaarde-groei. Of zij kunnen naar Amsterdam gaan, zich aansluiten bij een door durfkapitaal gesteunde startup en streven naar een financieel resultaat dat het ecosysteem van Den Haag niet kan bieden. Elk jaar dat de durfkapitaalkloof blijft bestaan, slaat deze afweging verder door.

Wat de cyberbeveiligingsmarkt van Den Haag daadwerkelijk nodig heeft van Executive Search

De kern van deze analyse gaat niet alleen over schaarste. Het is dit: de cyberbeveiligingscluster van Den Haag heeft haar groei gebouwd op een overheidsankermodel dat nu haar eigen talentaanvoer kannibaliseert, precies op het moment dat de inkoopvraag versnelt. De instanties die de contracten creëren, nemen de mensen aan die nodig zijn om ze uit te voeren. Het screeningssysteem dat is ontworpen om de nationale veiligheid te beschermen, verhindert tegelijk dat de private sector kan opschalen om in nationale veiligheidsbehoeften te voorzien. De grootste troef van de cluster en haar grootste beperking zijn hetzelfde.

Deze paradox kan niet worden opgelost door meer vacatures te plaatsen. Zij kan niet worden opgelost door salarissen te verhogen, omdat de niet-financiële voordelen van de overheid in gescreende functies verder gaan dan wat de meeste private werkgevers kunnen repliceren. Zij kan alleen worden aangepakt door de kandidaten te bereiken die niet zichtbaar zijn voor conventionele wervingsmethoden.

In de gescreende cyberbeveiligingsmarkt van Den Haag betekent dat het bereiken van de 85 tot 90% van de gekwalificeerde professionals die momenteel in dienst zijn, niet actief zoeken en onzichtbaar zijn voor welk vacatureplatform dan ook. Het betekent het identificeren van OT-security engineers met meer dan vier jaar functieduur die niet reageren op een generieke benadering, maar wel op een specifieke propositie. Het betekent begrijpen dat een CISO-zoekopdracht in deze markt geen wervingsoefening is. Het is een intelligence-operatie.

De aanpak van KiTalent voor deze markt weerspiegelt deze realiteit. Met AI-gedreven talent mapping en directe headhunting levert KiTalent interviewklare executive-kandidaten binnen 7 tot 10 dagen, door de passieve senior professionals te bereiken die vacatureadvertenties en databasezoekopdrachten consequent missen. Met een retentiepercentage van 96% na één jaar over meer dan 1.450 executive placements is de methodologie gebouwd voor markten waarin de kosten van een mislukte of trage zoekopdracht worden gemeten in verloren contracten en regulatoire blootstelling — niet alleen in verloren tijd.

Voor organisaties die concurreren om gescreend cyberbeveiligingsleiderschap in de defensietechnologiecluster van Den Haag — waar de kandidaten die u nodig hebt in dienst zijn bij de instanties die uw contracten gunnen en het screeningssysteem elke tijdlijn beperkt — spreek met ons executive-searchteam over hoe wij deze specifieke markt benaderen.

Veelgestelde vragen

Wat is het tekort aan cyberbeveiligingstalent in Den Haag in 2026?

Nederland kijkt aan tegen een verwachte kloof van 14.000 onvervulde cyberbeveiligingsfuncties tegen eind 2026. Den Haag ervaart acute schaarste, specifiek in gescreende security-engineeringfuncties die NATO- of EU SECRET-geschiktheid vereisen, waar 85 tot 90% van de gekwalificeerde kandidaten passief is. Functies als Senior Security Architect en OT Security Engineer in de defensiecluster doen er gemiddeld 90 dagen of meer over om te worden ingevuld — het dubbele van de doorlooptijd voor niet-gescreende commerciële functies. De schaarste is geconcentreerd in gespecialiseerde, gescreende profielen en niet gelijkmatig verdeeld over alle cyberbeveiligingsfuncties.

Wat verdienen cyberbeveiligingsprofessionals in Den Haag?

Senior Security Architects met screening verdienen €95.000 tot €115.000 basis plus bonus. Functies op directorniveau bereiken €165.000 met langetermijnincentives.000 tot €195.000 met langetermijnincentives. OT Security Engineers krijgen een premie van €90.000 voor senior specialisten, oplopend tot €175.000 voor Directors of OT Security.000 tot €120.000 voor senior specialisten, oplopend tot €175.000 voor Directors of OT Security.000 tot €220.000 voor Directors of OT Security. CISOs in Den Haag verdienen €180.000 basis, al ligt dit 12 tot 18% onder Amsterdam en 35 tot 45% onder Londen voor vergelijkbare functies, wat een blijvende [beloningsuitdaging in Executive Search](https://kitalent.000 tot €220.000 basis, al ligt dit 12 tot 18% onder Amsterdam en 35 tot 45% onder Londen voor vergelijkbare functies, wat een blijvende beloningsuitdaging in Executive Search creëert.

Waarom is het zo moeilijk om gescreend cyberbeveiligingstalent in Den Haag aan te trekken?**De AIVD verwerkt jaarlijks ongeveer 1.200 nieuwe aanvragen voor veiligheidsonderzoeken met een achterstand van vier tot zes maanden. Private ondernemingen kunnen niet inschrijven op 40% van de defensiecybercontracten zonder vooraf gescreend personeel, maar kunnen voor nieuwe medewerkers geen screening verkrijgen totdat contracten zijn veiliggesteld. Overheidsinstanties — met name NCSC-NL en het Defence Cyber Command — concurreren direct om gescreende professionals met pensioenzekerheid en voordelen rond behoud van screening die private werkgevers niet kunnen evenaren. Dit creëert een structureel beperkte talentpool in plaats van een conventioneel krappe markt.

Hoe beïnvloedt NIS2 de cyberbeveiligingswerving in Nederland?

De implementatie van NIS2 vanaf oktober 2024 leidde tot stijgingen van 60 tot 80% in opdrachten rond compliance-gereedheid bij consultancybedrijven in Den Haag. Incident response-retainercontracten stegen met 45% na ransomware-aanvallen op Nederlandse kritieke infrastructuur. De Big Four absorbeerden een aanzienlijk deel van het mid-career GRC-talent om deze opdrachten te bemensen, waardoor MSSP's in het middensegment concurreren om een krimpende pool. De directe headhuntingmethodologie van KiTalent bereikt de compliance- en security leadership-professionals die door deze regulatoire golf urgent noodzakelijk zijn geworden.

**Hoe verhoudt Den Haag zich tot Amsterdam voor carrières in cyberbeveiliging?Amsterdam biedt 12 tot 18% hogere CISO-vergoedingen, aanzienlijk diepere venturekapitaalnetwerken en trok in 2024 63% van de Nederlandse cybersecurity-VC-financiering aan tegenover 12% voor Den Haag. Den Haag biedt ongeëvenaarde nabijheid tot de NAVO, Nederlandse overheidsinstanties en defensie-inkoopstromen, met 34% van het nationale cyberbeveiligingspersoneelsbestand. De keuze hangt af van de vraag of een professional prioriteit geeft aan defensiegerelateerd missiewerk en toegang tot overheidscontracten, of aan aandelenparticipatie en salarispremies in de commerciële sector.

Wat is de beste manier om senior cyberbeveiligingsexecutives in Den Haag te rekruteren?De CISO-markt in Den Haag is voor 95% of meer passief. Senior OT- en gescreende securityfuncties laten verhoudingen van actieve tot passieve kandidaten zien van ongeveer één op zeven. Vacatureadvertenties bereiken slechts een fractie van de gekwalificeerde pool. Effectieve Executive Search in deze markt vereist directe identificatie en benadering van werkzame professionals via gesloten netwerken en AI-gedreven talentmapping. KiTalent levert interviewklare kandidaten binnen 7 tot 10 dagen met deze methodologie, met een pay-per-interviewmodel dat het risico van een upfront retainer elimineert.